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(54) Process for_entering data of a motor vehicle device 

(57) To enter data of a motor vehicle 
device (1), especially for communication 
between stationary communication systems 
on traffic routes and the motor vehicle 
device ( 1 ), into which changing data, 
especially charge balances or charge credit, 
are entered by means of a portable data 
medium (5), especially a chip card, that the 
other part of the data (2) which relates to the 
vehicle is entered into the motor vehicle 
device (1) using a special vehicle device 
configuration station in encrypted form or in 
a form with a key added, that the other part 
of the data (6) is- stored on a portable data 
medium (5) and that the portable data 
medium (5) is provided with a decryption 
code (7) for the vehicle data in the vehicle 
device configuration station, so that when 
the portable data medium (5) interacts with 
the vehicle device (1) the encrypted vehicle 
device data are transferred to the portable 
data medium (5) and are entered decrypted. 
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application data (6) 
key (7) 



application data (secured 
and/or encrypted) (2) 

application program (3) 
communication 
connection (short 
range communi- 
cation or network 

external applications (4) 



In this way tamper-proof filing of 
data in the vehicle device is possible when a 
tamper-proof portable data medium is used. 
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@ Verfahren zum Bereitstellen von Daten eines Fahrzeuggerats 

(f?) Zur Berettstellung von Daten eines Fahrzeuggerats (1), 
insbesondere zur Kommunikation zwischen stationaren 
Kommunikationsanlagen an Verkehrswegen und dom Fahr- 
zeuggerat (1), in das sich andernde Daten, insbesondere 
Gebuhrenguthaban bzw. -kredit, mitteis eines transports - 
blen Datentragers (5), insbesondere einer Chipkarte, einge- 
gaben warden, daS der andere Tail der Daten (2), der auf das 
Fahrzeug bezogen ist, mit Hilfe einer speziellen Fahrzeugge- 
rat-Konfigurationsstatiort in verschiusselter oder durch einen 
Schlussel erganzter Form in das Fahrzeuggerat (1) eingege- 
ben wird, daS der andere Tail der Daten (6) auf dem 
transportab!en Datentrager (5) gespeichert wird und daS der 
transportable Datentrager (5) mit ainem Entschlusselungs- 
code (7) fur die Fahrzeugdaten in der Fahrzeuggerat* Konfi- 
gurationsstation versehen wird, so deB beim Zusammenwir- 
■ ken des transportablen Datentragers (5) mit dem Fahrzeug- 

* gerat (1) die verschlusselten Fahrzeuggeratdaten in den 

* transportablen Datentrager (5) ubertragen und entschlusselt 
bereitgestellt werden. 

Dadurch gelingt eine manipulationssichere Ablage von Da- 
ten in dem Fahrzeuggerat, wenn ein manipulationssicherer 
transportabler Datentrager verwendet wird. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zum Bereitstel- 
len von Daten eines Fahrzeuggerats, insbesondere bei 
der Kommunikation zwischen stationaren Kommunika- 
tionsanlagen an Verkehrswegen und dem Fahrzeugge- 
rat, in das sich andernde Daten, insbesondere Gebuh- 
renguthaben bzw. -kredit, mitteis eines transportablen 
Datentragers, insbesondere einer Chipkarte, eingege- 
ben werden. 

Insbesondere bei Systemen zur automatischen Ge- 
buhrenerhebung kommen im Fahrzeug Fahrzeuggerate 
zum Einsatz, die eine Chipkarte aufnehmen konnen. Die 
Chipkarte beherbergt empfindliche Daten. Hierzu ge- 
horen Gebtthrenguthaben bzw. -kredit, personenbezo- 
gene und geheime Daten, wie beispielsweise Schlussel 
zur VerschlQsselung der ausgetauschten Nachrichten 
und zur gegenseitigen Authentifizierung mit der Abbu- 
chungsstation. Die Chipkarte ist daher als Trusted De- 
vice" ausgefuhrt, d. h. die Daten konnen nur von autori- 
sierten Kommunikationspartnern ausgelesen bzw. ge- 
andert werden, insbesondere von Auf- und Abbu- 
chungsstationen. Anderungen am Betriebssystem und 
an der Software der Chipkarte sind nicht moglich. 

Fur die automatische Gebuhrenerhebung konnen be- 
reitgestellte Daten des Fahrzeuggerats beispielsweise 
auf stationare Kommunikationsanlagen an Verkehrswe- 
gen ubertragen, aber alternativ auch im Fahrzeuggerat 
selbst verarbeitet werden. Fur die automatische Gebiih- 
renerfassung spieien auch Daten eine Rolle, die nicht auf 
einer Chipkarte gespeichert werden sollten, da die Da- 
ten an ein bestimmtes Fahrzeug gebunden sind. Beispie- 
le hierfur sind die ggfs. gebuhrenrelevante Kfz-Klasse 
Oder die Information iiber den Halter des Fahrzeugs, 
was insbesondere bei einem Post Payment-Verf ahren, in 
dem die Nutzungsgebuhr spater von einem Konto ab- 
gebucht wird, von Bedeutung ist. 

Woilte man diese Daten direkt in dem Fahrzeuggerat 
ablegen, muBten sie vor Manipulationen geschutzt wer- 
den, da die Daten unmittelbar EinfluB auf die Gebuhren- 
hohe (z. B. Kfz-Kiasse) haben konnen oder andere MiB- 
brauchsmoglichkeiten eroffnen (z, B. "freie Fahrt"-Ko- 
dierung in Polizei- und Rettungsfahrzeugen). Es ware 
daher moglich, auch das Fahrzeuggerat als 'Trusted De- 
vice^ auszufuhren, d. h. die mechanische Htille und das 
Betriebssystem so auszulegen, daB Manipulationen oder 
Auslesen von bestimmten Daten nicht moglich ist Die- 
ses Verfahren ware sehr teuer und unflexibel, da nach 
Anderungen immer eine neue Zertifizierung des Gerats 
erfolgen muBte. 

Die der Erfindung zugrundeliegende Problemstellung 
besteht somit darin, die fur eine automatische Gebuh- 
renerhebung erforderlichen Daten in Fahrzeuggeraten 
manipulationssicher ablegen zu konnen, ohne teure und 
unflexible Verfahren anwenden zu muss en. 

Ausgehend von dieser Problemstellung ist ein Verfah- 
ren der eingangs erwahnten Art erfindungsgemaB da- 
durch gekennzeichnet, daB ein Teil der Daten, der auf 
das Fahrzeug bezogen ist, mit Hilfe einer speziellen 
Fahrzeuggerat-Konfigurationsstation in verschlusseker 
oder durch einen Schlussel erganzter Form in das Fahr- 
zeuggerat eingegeben wird, daB der andere Teil der 
Daten auf dem transportablen Datentrager gespeichert 
wird und daB der transportable Datentrager mit einem 
Entschlusselungscode fiir die Fahrzeugdaten in der 
Fahrzeuggerate-Konfigurationsstation versehen wird, 
so daB beim Zusammenwirken des transportablen Da- 
tentragers mit dem Fahrzeuggerat die verschlusselten 



Fahrzeuggeratdaten in den transportablen Datentrager 
ubertragen und entschlusselt bereitgestellt werden. * • 

Das erfindungsgemaBe Verfahren sieht somit eine 
Trennung der Daten vor, wobei die Ablage der auf das 
5 Fahrzeug bezogenen Daten im Fahrzeuggerat durch 
Fahrzeuggerat- Konfigurationsstationen in verschliissel- 
ter Form mit einem geheimen Schlussel erfolgen kann. 
Dies kann direkt durch die Fahrzeuggerat-Konfigura- 
tionsstation oder mit Hilfe von speziellen Konfigura- 
io tionschipkarten geschehen. Die Fahrzeuggeratdaten 
konnen auch von dieser Station unter Verwendung ei- 
nes geheimen Schlussels mit einer elektronischen Un- 
terschrift versehen werden, z. B. indem eine Checksum- 
me iiber diese Daten gebildet wird und anschlieBend die 
15 Daten plus Checksumme verschliisselt werdea Vertrau- 
liche Daten werden ggfs. mit einem zweiten Schlussel 
verschliisselt 

Die transportablen Datentrager, die spater mit den 
Fahrzeuggeraten zusammenwirken, erhalten bei ihrer 
20 Initialisierung den zum geheimen Schlussel der Fahr- 
zeuggerate-Konfigurationsstation passenden Schlussel. 
Die Ablage dieser Schlussel erfolgt im geschutzten 
Speicherbereichder transportablen Datentrager, insbe- 
sondere Chipkarten, ist also nicht manipulierbar. 
25 Wenn der transportable Datentrager mit dem Fahr- 
zeuggerat zusammenwirkt, beispielsweise die Chipkarte 
in das Fahrzeuggerat eingesteckt wird, werden die gesi- 
cherten Fahrzeuggeratedaten in den transportablen 
Datentrager transferiert ZweckmaBigerweise wird eine 
30 Integritats- und Authentizitatsprufung vorgenommen. 
Sind die Daten gemaB dieser Prufung nicht integer oder 
nicht authentisch, stammen sie also nicht von der Fahr- 
zeuggerate-Konfigurationsstation, wird das Fahrzeug- 
gerat mit dem transportablen Datentrager nicht bzw. 
35 nicht voll funktionsfahig gemacht Jede Applikation, die 
eine uneingeschrankte Beteiligung des transportablen 
Datentragers erfordert, also insbesondere die automati- 
sche Gebuhrenerhebung, kann nicht mehr stattfinden. 
Das Prufungsverfahren kann nicht durch Manipulatio- 
40 nen umgangeri werden, wenn — wie tiblich — der trans- 
portable Datentrager ein 'Trusted Device" ist 

Durch das erfindungsgemaBe Verfahren sind die 
Fahrzeuggeratedaten gegen Manipulationen geschutzt 
Allerdings ware es denkbar, die Fahrzeuggeratedaten 
45 zu kopieren, insbesondere solche Fahrzeuggeratedaten, 
die besondere Privilegien vermitteln, wie sie beispiels- 
weise fiir Polizeifahrzeuge bestehen. 

Vorzugsweise werden die verschlusselten Fahrzeug- 
geratedaten daher mit einem eindeutigen Identifika- 
50 tionscode, beispielsweise in Form einer Identifikations- 
nummer oder einer aus dem Kraftfahrzeugkennzeichen 
abgeleiteten Prufnummer, abgespeichert Die von den 
stationaren Kommunikationsanlagen an den Verkehrs- 
wegen aufgenommenen Identifikationscodes konnen 
55 dann jederzeit daraufhin iiberpruft werden, ob gleiche 
Identifikationscodes parallel auftreten oder die Pruf- 
nummer zum vorzugsweise optoelektronisch erfaBten 
Kraftfahrzeugkennzeichen paBt, wodurch etwaige ko- 
pierte Fahrzeuggeratedaten entdeckt werden konnen. 
60 Die entsprechenden Identifikationscodes konnen durch 
die stationaren Kommunikationsanlagen gesperrt oder 
manipuliert werden, so daB entweder die betreffenden 
Fahrzeuge oder die entsprechenden Chipkarten aufge- 
spiirt werden konnen. 

Eine bespielhafte Konfiguration zur Durchfiihrung 
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des erfindungsgemaBen Verfahrens ist schematisch in 
der beigefugten Zeichnung dargestellt 

In ein Fahrzeuggerat (l) ist ein erster Teil von Appli- 
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kationsdaten in einem ggf. geschiitzt ausgefuhrten Spei- 
cherbereich (2) in verschliisselter Form eingegeben. Die 
Eingabe kann direkt in speziellen Fahrzeuggerat- Konfi- 
gurationsstationen erfolgt sein, ist aber auch mit speziel- . 
len transportablen Datentragern, wie spezielle Konfigu- 5 
rationschipkarten, moglich. Das Fahrzeuggerat enthalt 
feraer ein Ajiwendungsprogramm (3), mit dem eine 
Kommunikation zu einer externen Applikation (4) erfol- 
gen kann. Die Kommunikation ist insbesondere mit sta- 
tionaren Kommunikationsanlagen an Verkehrwegen 10 
moglich. Es ist allerdings auch denkbar, eine Gebuhren- 
erhebung "autonom* im Fahrzeuggerat (1) vorzuneh- 
' men, indem mitteis Sateilitennavigation die Position des 
Fahrzeuggerats (1) bestimmt und eine Zahlung ggf. un- 
ter Verwendung einer Chipkarte bewirkt wird Die 15 
Quittungen werden zu einem spateren Zeitpunkt an ei- 
ne entsprechende Inf rastruktur weitergegeben. Das An- 
wendungsprogramm (3) besorgt in diesem Fall die 
Durchfuhrung und Auswertung der Satellitenortung 
und die Ausgabe der Quittungen, wahrend die externe 20 
Applikation (4) in diesem Fall sowohl fur die Kommuni- 
kation mit dem Navigationssatelliten als auch fur die 
erwahnte Inf rastruktur steht 

Die Applikationsdaten (2) des Fahrzeuggerats sind in 
der verschlusselten Form allerdings nicht verwendbar. 25 
Ein funktionsfahiges Fahrzeuggerat (I) entsteht erfln- 
dungsgemaB erst dadurch, daB mit Hilfe eines beispiels- 
weise als Chipkarte ausgefuhrten transportablen Daten- 
tragers (5) ein zweiter Teil von Applikationsdaten (6) 
und ein Schussel zur Entschliisselung der in dem ge- 30 
schutzten Bereich (2) des Fahrzeuggerats (1) enthalte- 
nen Teii-Applikationsdaten aufweist Die Applikations- 
daten (6) des transportablen Datentragers (5) konnen 
insbesondere Gebuhrenguthaben bzw. Gebuhrenkredit 
enthalten, wenn die dargestellte Konfiguration fur eine 35 
Gebuhrenerhebung verwendet werden soil 

Patentansprtiche 

1. Verfahren zur Bereitstellung von Daten eines 40 
Fahrzeuggerats (1), insbesondere zwischen statio- 
naren Kommunikationsanlagen an Verkehrswegen 
und dem Fahrzeuggerat (1), in das sich andernde 
Daten, insbesondere Gebuhrenguthaben bzw. -kre- 
dit, mitteis eines transportablen Datentragers (5), 45 
insbesondere einer Chipkarte, eingegeben werden, 
dadurch gekeiuizeichnet, daB ein Teil der Daten 
(2), der auf das Fahrzeug bezogen ist, mit Hilfe 
einer speziellen Fahrzeuggerat-Konfigurationssta- 
tion in verschliisselter oder durch einen Schlussel 50 
erganzter Form in das Fahrzeuggerat (1) eingege- 
ben wird, daB der andere Teil der Daten (6) auf dem 
transportablen Datentrager (5) gespeichert wird, 
und daB der transportable Datentrager (5) mit ei : 
nem Entschlusselungscode (7) fur die Fahrzeugda- 55 
ten in der Fahrzeuggerate-Konfigurationsstation 
versehen wird, so daB beirn Zusammenwirken des 
transportablen Datentragers (5) mit dem Fahrzeug- 
gerat (1) die verschlusselten Fahrzeuggeratdaten in 
den transportablen Datentrager (5) ubertragen und 60 
entschliisselt bereitgestellt werden; 

2. Verfahren nacrTAnspruch 1, dadurch gekenn- 
zeichnet, daB vor der Obernahme der verschlussel- 

. ten Daten von dem Fahrzeuggerat auf den trans- 
portablen Datentrager eine Integritats- und Au- es 
thentizitatsprufung vorgenommen wird, deren ne- 
gatives Ergebnis zur Funktionsunterbindung des 
Fahrzeuggerats fiihrt. 



3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB die verschlusselten Fahrzeugge- 
ratdaten mit einem eindeutigen Identifikationscode 
abgespeichert werden und daB eine Oberpriifung 

- auf parallel auftretende gleiche Identifikationsco- 
des vorgenommen wird. 

4. Verfahren nach einem der Anspriiche 1 bis 3, 
dadurch gekennzeichnet, daB die verschlusselten 
Fahrzeuggeratdaten (2) mit einem Identifikations- 
code abgespeichert werden, der mit einer aus dem 
Kraftfahrzeugkennzeichen abgeleiteteri Prufnum- 
mer gebildet ist, und daB vor oder wahrend der 
Kommunikation ein Vergleich von Prufnummer 
und Kraftfahrzeugkennzeichen vorgenommen 
wird. 



Hierzu 1 Seite(n) Zeichnungen 



BEST AVAILABLE COPY 



ZEICHNUNGEN SEITE NuA: DE 196 06 552 A1 

lnt.^P: G07B 15/00 > 

Offenlegungstag: 28. August 1 997 ' 



Chipkarte 



7 



I SchlOssel 



lApplikationsdatenj 



j 



Fahrzeuggerat 



Applikationsdaten 
(gestchert bzw. 
verschlusselt) 



t Anwendungsprogramm 



-2 

cJ 



Kommunikationsverbindung 
(Short Range Kornmunlkatlon Oder 
Netzwerk) 



L 



Externa Applikation 



702 035/156 



